Question

1.安全从业者的职业发展路径

安全从业者的职业发展需要根据自身实际情况而定，推荐的发展路径参考图 24-2。

以下分别介绍各类方向发展情况。

2.企业安全从业人员（甲方）

（1）总部 IT 安全团队员工

a.安全技术类岗位。

如果是从事安全开发、安全攻防等技术类岗位，职业生涯初期可以在应用安全、内网安全、数据安全的某 2~3 个领域深入，越深入越好，目标是成为金融行业的某领域技术专家，顺利的话可以成为技术组组长、实验室负责人；中期目标是成为大企业高级开发者或中小企业安全负责人；终极目标是走向 CSO 高管职位。

关于大企业高级开发者与中小企业安全负责人的路径选择问题，赵彦在“行业风口上的安全人员职业规划”分享的以下内容可供参考：

大厂需要的经验譬如都是 xx 万 IDC 规模下的入侵检测，或者 x 万研发人员提交代码仓库的 SDL，大部分时候会要求应聘者已经具备相关领域的成熟经验。小公司跟大公司不同，安全团队即使有其规模也不会很大，安全人员往往需要身兼数职，面对一揽子问题给出最高性价比方案，这类性价比高的方案往往是逮着某个开源软件就上，而不会过分计较其功效。有些公司虽然也有安全团队，但必须大量地依赖商业产品和解决方案，自己只负责简单的安全产品运维。同时，中小企业招聘到高级安全技术人才的可能性不是很高，也间接决定了不可能在结果上深挖。于是一个既懂安全又会开发点小工具还爱折腾的“全栈工程师”在这种场景下就吃香了；但不好的是，一旦你受中小企业欢迎，那么你的技能会越来越聚焦泛而不深的安全需求，你在可预见的职业生涯里都可能跟大公司无缘了，因为你一直在发展小公司急需而大公司不需要的技能，同时即使在小公司做到安全负责人但收入只有大公司高 P 的几分之一。人有时候会放自己一马，去个小公司舒舒服服地当个安全负责人，至少不用在日新月异的技术上孜孜以求、苦苦学习，也不用被成为高 P 的愿景所绑架，毕竟只有少数拔尖者最终才会成为高 P。从比较积极的角度看，过早地放弃高 P 路线转向中小企业安全负责人，犹如放弃攀爬一座 1000 米高的山，转而爬一座 600 米的山，会舒服一阵；但会更早地迎来半衰期的中点，更早地迎来下坡路。

图 24-2　推荐的安全从业者职业发展路径

b.安全管理岗位。

安全管理类岗位包括安全设备运行维护，安全合规、政策、制度，风险管理，监督检查等。职业生涯初期可以在安全运维、设备运维方面入手，掌握一些基本的安全技术领域背景知识，为后期走向偏管理类方向打下基础；中期目标是成为中小企业安全负责人、IT 部门内控合规负责人，也可能成为公司风险管理、合规法务、稽核审计部门内，与 IT 相关业务的负责人，比如 IT 风险管理组长、IT 审计组长等；最终目标是 CSO、CRO 等高管职位。

安全管理岗切记职业生涯就直接从风险合规方法论起步，有条件的先从事 2~3 年的偏安全技术类工作，这样在转向安全管理、风险管理类偏“务虚”类岗位时，能够和工作对象有沟通基础，否则技术人员觉得你是一个什么也不懂，只会讲方法论的风险管理者。有一定前提基础的沟通是双方协作的必要条件。另外此处务虚打上了双引号，因为风险管理、内控合规等工作并不务虚（IT 风险归类于操作风险，属于四大风险管理领域之一），金融行业本来就是加工风险的行业（入行时行长培训灌输的第一个理念），银行更是基于风险定价，因此如何进行各类风险管理其实是个非常专业的技术领域。我们觉得安全管理务虚，是因为目前绝大多数甲方管理者和乙方咨询服务方，交付的是务虚的工作成果，比如组织架构、职责、制度、流程等，而如何有效进行风险计量、处置，如何推动风险管控落地，风险管理工具（RCSA、LDC、KRI）如何有效使用等，这些实施、推动起来比较困难的内容被有选择地忽视和过滤掉了。

（2）总部第二道、第三道防线部门员工

职业生涯初期总在 IT 风险、IT 合规、IT 审计类岗位从事较为初级的工作；中期目标是成为公司风险管理、合规法务、稽核审计部门内，与 IT 相关业务的负责人，比如 IT 风险管理组长、IT 审计组长等，也可能专项乙方如四大会计师事务所的咨询顾问，最终目标是 CRO 高管职位。

（3）分支机构安全管理员

分支机构安全管理员发展空间有限，需谨慎选择。目标是多从总部和同行业学习一些最佳实践，在同其他分支机构的安全管理工作比较中处于优势。此类岗位的发展空间在于安全管理员能否承担更多分支机构的其他非安全类需求。

3.安全公司从业人员（乙方）

（1）安全产品研发类

安全产品研发类属于乙方企业的核心岗位人员。中期目标是成为产品线负责人；长远目标是成为主管技术的副总裁、CTO。

（2）安全技术支持类

安全技术支持类，包括技术服务、技术支持、应急响应等。中期目标是成为技术支持线负责人、XX 分公司负责人；长远目标是成为大区负责人、服务线副总裁等。

（3）安全咨询类

安全咨询类主要分布于四大会计师事务所（德勤、安永、普华永道、毕马威）、Thought-works 的 IT 信息安全咨询部门。中期目标是成为高级经理；长远目标是成为事务所合伙人。

还有一类咨询是非四大的综合性安全厂商，如 360、绿盟、启明星辰，内部也有一些高阶的咨询服务岗位，如金融行业解决方案部门负责人等。

（4）驻场外包类

驻场外包类岗位主要是安全运营、安全支持类工作。中期目标是成为驻场外包团队负责人；长远目标是转向乙方内部安全技术或服务类岗位、甲方安全岗位。

（5）销售类

销售类岗位主要在于客户资源和对甲方客户需求的把握，以及需求和解决方案、资源之间的平衡点。成功的销售类岗位人员能够在资源有限的情况下，找到需求、解决方案与资源之间的平衡点，最大化客户、公司的价值，而绝不仅仅是销售数字（数字只是结果）。目前纯销售岗位越来越少，前景越来越不乐观，技术人员转型大销售趋势明显，销售、售前、售后支持、技术支持的界限越来越模糊。中期目标是成为分公司负责人；长远目标是主管销售的副总裁或创业。

4.其他类从业人员

（1）白帽子、漏洞挖掘从业人员

白帽子、漏洞挖掘从业人员更多是安全人员的第二职业，他们大多都是有第一职业，挖洞只是副业。也有少数专职人员，转向甲方安全研究、安全防护都是不错的职业规划选择。

（2）安全公司创业

2018 年 4 月 13 日，网信办和证监会联合关印发了《关于推动资本市场服务网络强国建设的指导意见》的通知，支持符合条件的网信企业利用多层次资本市场做大做强。加快扶持培育一批自主创新能力强、发展潜力大的网信企业在主板、中小板和创业板实现首次公开发行和再融资。网络安全公司创业重新站上了新的风口。五年前更多是乙方安全企业人员出来创业，而最近几年的趋势是很多甲方企业安全人员出来成立创业公司或加盟创业公司，未来将会看到更多此类情景。参与安全创业的岗位主要是：乙方销售类、产品研发类岗位（更多是副总裁类的负责人），甲方安全负责人、技术骨干，政府相关部门人员。

5.安全从业指南

在安全从业人员职业规划中，有以下几点值得注意：

·尽量缩短初期练级所需时间。游戏玩家知道，某些关卡、技能和高等级场所只有玩家到了一定级别才能解锁，级别没到，只能枯燥地每天打打小怪物，积累经验值。因此职业生涯初期，尽可能缩短初期练级所需时间。这个缩短不是说一味地往更好更高的职位上跳，不是这个意思。初期练级是最重要的打基础阶段，在这个阶段，除了每天事务性和分配性工作之外，要勤于思考这些工作的关键是什么，如何改进优化，以及这些工作和其他的工作之间的关系，整个工作的全貌是什么等等。在这个初级阶段，最重要的是养成独立思考的逻辑思维、科学的方法论、勤奋细致的工作作风，以及结果为导向的价值观，如果能以这样的心态和方法去工作，将很快从初级者中脱颖而出。

·在面临工作选择的时候，规避主要内容都是 dirty work 的工作。dirty work 工作主要特征是事务性、重复性的。这类工作是无法完全避免的，哪怕是高阶的管理者，每天也在做一些 dirty work，比如流程审批，只是比重不同而已，因此做这类工作的目的是为了未来不再做。关键是在做 dirty work 中以结果和业绩展示自己的实力，让上级管理者认为把你放在 dirty work 上纯属浪费，自然而然就逐步减少 dirty work 了。最完美的状态就是每时每刻都能学到新的知识，按照“10 000 小时”定律努力下去，就有可能成为某行业的顶尖人才。

·在某些技术领域成为专家。很少看到高职级安全人员属于一点技术背景都没有的。大多数情况是，先成为某些技术领域的资深专家，然后自身又有一定兴趣，付出时间精力进行管理实践，两者结合，迈向了长远目标。成为某些领域技术专家是职业生涯金字塔的塔基部分，塔基不牢甚至没有就只会使金字塔成为空中楼阁。

·安全人员薪资比同级别研发和运维要高一些，但 IT 部门总经理、CTO 等大多来自运维和研发，鲜有从安全部门晋升而来。因为安全不是必需品，价值判定因人而异，因此选择安全从业时考虑清楚。

·除了少数岗位性质决定以外，甲方从业人员面临的问题，都不是技术问题，或者说单纯依靠技术解决不了，大部分岗位比拼的也都不仅是技术，而是解决一个一个小问题、从而最终搞定事情、将工作往前推进的综合能力。黑猫白猫，搞定问题，取得绩效就是好猫。

·适当积累各类资源。资源并不等同于人脉，资源是能够用于解决问题的各类有利条件的统称。人脉是你的资源，你掌握的非安全知识也是资源，你的兴趣爱好也是资源，你所在城市也是资源。积累各类资源，有助于解决问题，避免对单一解决方案的依赖，以及在单一解决方案行不通时各类资源提供其他可能性。就像你高考成绩太差，无法通过大学改变自己命运，但你会做葱油饼，或者球踢得很好一样，都可以帮你实现同样目标。当然现实一点的资源，基本上都是人脉资源，你在企业内部，帮助更多的人，获得更多的人的认可和帮助，本质上也是积累自己的人脉资源，这样会让自己以及自己所在安全团队之路越走越宽。资源是价值创造的倍增器。